CN112560051A

CN112560051A - 一种工业数据安全管理方法、装置、电子设备及存储介质

Info

Publication number: CN112560051A
Application number: CN202011360944.1A
Authority: CN
Inventors: 孙亚东; 王志海; 喻波; 何晋昊; 魏力
Original assignee: Beijing Wondersoft Technology Co Ltd
Current assignee: Beijing Wondersoft Technology Co Ltd
Priority date: 2020-11-27
Filing date: 2020-11-27
Publication date: 2021-03-26

Abstract

本申请提供了一种工业数据安全管理方法、装置、电子设备及存储介质，所述方法包括：确定工业数据的当前业务流程；从工业数据的数据安全模型中，查询当前业务流程的目标安全要求，其中，数据安全模型为根据用户对工业数据在各个业务流程中的安全要求生成的；调用目标安全要求对应的数据安全方法，对工业数据进行安全管理。这样，通过数据安全模型对工业数据的安全要求进行体系化描述，可以确定工业数据在当前业务流程中的目标安全要求，进而调用相应的数据安全方法，不需要用户针对工业数据的不同业务流程单独定义数据安全方法，从而可以提高对工业数据的安全保障水平，降低对工业数据进行安全运维的难度。

Description

一种工业数据安全管理方法、装置、电子设备及存储介质

技术领域

本申请涉及工业数据管理技术领域，特别是涉及一种工业数据安全管理方法、装置、电子设备及存储介质。

背景技术

新基建推动工业数字化转型，工业互联网是工业数字化转型的承载与外在表现，工业互联网的核心原理是：数据驱动物理系统与数字空间互联协同。数据是工业互联网的灵魂，呈现出自下而上从设备层、边缘层到企业层、产业层的南北向流动与每个层次内部的东西向流动的特点，一方面，网络互联、系统互通可以加速数据流动，另一方面，也随之产生了若干数据安全风险。因此，如何体系化地描述工业互联网平台面临的数据安全风险，是解决工业互联网数据安全的必要条件。

现有技术中，可以采用工业互联网联盟提出的3IM模型(Industrial InternetInformation Model，工业互联网信息模型)描述数据安全风险，3IM模型定义了工业数据在工业互联网平台中流转时，应采用的一般格式。但是，在3IM模型中，安全需求的描述方法不够明确，管理人员的经验决定了安全需求的体系化程度及后续安全保障水平，而且，安全需求与安全保障的关系混乱，缺乏明确清晰的定义安全需求与安全保障关系的支撑能力。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：如何对数据安全进行体系化描述，提高对数据的安全保障水平，进而降低对数据进行安全运维的难度。

发明内容

为解决上述技术问题，本申请示出了一种数据管理方法、装置、电子设备及存储介质。

第一方面，本申请示出了一种工业数据安全管理方法，所述方法包括：

确定工业数据的当前业务流程；

从所述工业数据的数据安全模型中，查询所述当前业务流程的目标安全要求，其中，所述数据安全模型为根据用户对所述工业数据在各个业务流程中的安全要求生成的；

调用所述目标安全要求对应的数据安全方法，对所述工业数据进行安全管理。

可选的，所述数据安全模型中包括标识信息及属性信息，所述标识信息与所述数据安全模型唯一对应，所述属性信息包括所述数据安全模型的模型类型及用户对所述工业数据在各个业务流程中的安全要求。

可选的，所述数据安全模型中还包括所述工业数据对应于各个业务流程的子模型，其中，每个所述子模型中包括子标识信息及子属性信息，所述子标识信息与所述子模型唯一对应，所述子属性信息包括所述子模型的模型类型及用户对所述工业数据在所述子模型对应的业务流程中的安全要求。

可选的，所述从所述工业数据的数据安全模型中，查询所述当前业务流程的目标安全要求，包括：

从所述工业数据的数据安全模型中，查询所述当前业务流程对应的目标子模型；

根据所述目标子模型的属性信息及所述数据安全模型的属性信息，确定所述当前业务流程的目标安全要求。

可选的，所述方法还包括：

接收针对所述工业数据的安全要求更新信息；

根据所述安全要求更新信息，更新所述工业数据的数据安全模型。

第二方面，本申请示出了一种工业数据安全管理装置，所述装置包括：

业务确定模块，用于确定工业数据的当前业务流程；

查询模块，用于从所述工业数据的数据安全模型中，查询所述当前业务流程的目标安全要求，其中，所述数据安全模型为根据用户对所述工业数据在各个业务流程中的安全要求生成的；

调用模型，用于调用所述目标安全要求对应的数据安全方法，对所述工业数据进行安全管理。

可选的，所述查询模块，具体用于从所述工业数据的数据安全模型中，查询所述当前业务流程对应的目标子模型；根据所述目标子模型的属性信息及所述数据安全模型的属性信息，确定所述当前业务流程的目标安全要求。

可选的，所述装置还包括：

更新模块，用于接收针对所述工业数据的安全要求更新信息；根据所述安全要求更新信息，更新所述工业数据的数据安全模型。

本申请还示出了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一项所述的工业数据安全管理方法的步骤。

本申请还示出了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的工业数据安全管理方法的步骤。

与现有技术相比，本申请包括以下优点：

确定工业数据的当前业务流程；从工业数据的数据安全模型中，查询当前业务流程的目标安全要求，其中，数据安全模型为根据用户对工业数据在各个业务流程中的安全要求生成的；调用目标安全要求对应的数据安全方法，对工业数据进行安全管理。

这样，通过数据安全模型对工业数据的安全要求进行体系化描述，可以确定工业数据在当前业务流程中的目标安全要求，进而调用相应的数据安全方法，不需要用户针对工业数据的不同业务流程单独定义数据安全方法，从而可以提高对工业数据的安全保障水平，降低对工业数据进行安全运维的难度。

附图说明

图1是本申请的一种工业数据安全管理方法的步骤流程图；

图2是本申请中数据安全模型基本框架示意图；

图3是本申请中数据安全模型及其若干子类的关系示意图；

图4是卷烟厂工业设备数据安全管控项目中的数据安全模型；

图5是石油化工企业数据防泄露项目中的数据安全模型；

图6是本申请的一种工业数据安全管理装置的结构框图；

图7是本申请的一种电子设备的结构示意图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

现有技术中，安全需求的描述方法不够明确，管理人员的经验决定了安全需求的体系化程度及后续安全保障水平，而且，安全需求与安全保障的关系混乱，缺乏明确清晰的定义安全需求与安全保障关系的支撑能力。

为了解决上述问题，本申请提出了一种工业数据安全管理方法，，下面从总体上对本申请提供的工业数据安全管理方法进行说明，该方法包括如下步骤：

确定工业数据的当前业务流程；

由以上可见，本申请提供的工业数据安全管理方法，通过数据安全模型对工业数据的安全要求进行体系化描述，可以确定工业数据在当前业务流程中的目标安全要求，进而调用相应的数据安全方法，不需要用户针对工业数据的不同业务流程单独定义数据安全方法，从而可以提高对工业数据的安全保障水平，降低对工业数据进行安全运维的难度。

参照图1，示出了本申请的一种工业数据安全管理方法的步骤流程图，具体可以包括如下步骤：

S101：确定工业数据的当前业务流程。

其中，工业数据为任一种工业数据，工业数据是指在工业领域信息化应用中产生的数据，贯穿于工业生产的各个业务流程中。工业生产的业务流程可以包括设备层、边缘层、企业层和产业层，其中，每个业务流程面对的安全风险不同，对应的对工业数据的安全要求也可能不同。

举例而言，设备层的工业数据安全风险可以包括对设备的非法登录、设备之间指令被篡改或重放；边缘层的工业数据安全风险可以包括边缘层下行到设备层的控制指令被篡改或重放、未经授权的设备接入、设备接入后非法使用工业数据、IT网络风险与OT网络风险交叉双向蔓延、边缘层上行到企业层的工业数据被拦截/篡改/监听；企业层的工业数据安全风险可以包括云内工业数据被非法使用/篡改/删除/泄露、与行业层通信被拦截/篡改/监听、用户或应用非法接入、工业数据泄漏无法追溯审计、与行业监管部门双向数据交换安全的身份认证/线路安全/网络边界安全问题；行业层的工业数据安全风险可以包括云内工业数据被非法使用/篡改/删除/泄露、与企业云行业层通信被拦截/篡改/监听、用户或应用非法接入、数据泄漏无法追溯审计、与行业监管部门双向数据交换安全的身份认证/线路安全/网络边界安全问题。

S102：从工业数据的数据安全模型中，查询当前业务流程的目标安全要求，其中，数据安全模型为根据用户对工业数据在各个业务流程中的安全要求生成的。

其中，数据安全模型中包括标识信息及属性信息，标识信息与数据安全模型唯一对应，属性信息包括数据安全模型的模型类型及用户对工业数据在各个业务流程中的安全要求。

标识是工业数据安全模型的唯一编码，贯穿模型生存周期。属性用于描述工业数据安全模型的基本信息，包括静态属性与动态属性。其中模型类型属性作为常量是必选值，用于标识这个模型是数据安全模型。其它属性如数据分类、安全等级、脱敏要求、加密要求等。

一种实现方式中，数据安全模型中还包括工业数据对应于各个业务流程的子模型，其中，每个子模型中包括子标识信息及子属性信息，子标识信息与子模型唯一对应，子属性信息包括子模型的模型类型及用户对工业数据在子模型对应的业务流程中的安全要求。其中，每个子模型还可以包括标识、子模型、属性，依此类推。

如图2所示，为本申请中数据安全模型基本框架示意图，数据安全模型可以系统地归纳在不同业务流程中的安全要求，并根据数据安全模型中的属性信息、子模型等形式，形成工业数据的安全需求体系。

在本步骤中，从工业数据的数据安全模型中，查询当前业务流程的目标安全要求，可以包括：从工业数据的数据安全模型中，查询当前业务流程对应的目标子模型；根据目标子模型的属性信息及数据安全模型的属性信息，确定当前业务流程的目标安全要求。

如图3所示，为本申请中数据安全模型及其若干子类的关系示意图。其中，数据安全模型可以包括数据分类、安全等级、脱敏规则、加密规则等属性，另外，还可以包括标识、模型类型、访问控制规则等其他属性(图中未示出)。数据安全模型的若干子类可以包括设备层数据安全模型、边缘层数据安全模型、企业层数据安全模型和产业层数据安全模型。

举例而言，设备层工业数据以实时型数据为主，包括流速、重量、压力、投料量等实时生产数据，启停、转速等设备状态数据，温度、湿度等环境数据以及生产指令数据。设备层数据安全模型的属性包括设备访问控制列表和控制指令安全，其中，设备访问控制列表中包括根据用户或IP(Internet Protocol，互联网协议)地址的白名单，控制指令安全包括指令签名。

边缘层工业数据以工单、生产单元数据为主，包括工艺工序、生产指令等准实时数据。边缘层数据安全模型的属性包括边缘层系统访问控制列表、下行控制指令安全和上行数据传输安全。其中，边缘层系统访问控制列表包括用户白名单，下行控制指令安全包括指令签名，上行数据传输安全包括加密、签名。另外，边缘层数据安全模型的属性还包括接入设备身份鉴别(图中未示出)，接入设备身份鉴别包括对证书、MAC、标识等信息的鉴别。

企业层工业数据与产业层工业数据以单据、报表数据为主，包括采购、生产、质量、经营等非实时、结构化数据以及非结构化数据。企业层及产业层数据安全模型的属性包括数据采集安全、数据存储安全、数据传输安全、追溯和审计。其中，数据采集安全包括接入设备认证，数据存储安全包括加密存储、数据传输安全包括防泄露和传输签名验签，数据追溯包括桌面水印、文档标签，数据审计包括边缘层接入数据审计。

本申请中，数据安全模型与工业互联网信息模型是关联关系，数据安全模型定义了具体的工业互联网数据安全应具备的安全能力，并对接安全产品实现安全功能。

S103：调用目标安全要求对应的数据安全方法，对工业数据进行安全管理。

其中，数据安全方法可以存储在数据安全方法模型中，数据安全方法模型属于接口或抽象类，通过继承接口或抽象类，可以调用数据安全方法模型提供的具体服务，实现接口或抽象类中的方法，将数据安全模型与数据安全方法模型进行关联，可以实现对数据安全方法的调用。

一种实现方式中，每个数据安全方法模型均包括标识信息及属性信息，标识信息与数据安全方法模型唯一对应，属性信息包括数据安全方法模型的模型类型及该数据安全方法模型中包括的各类算法。

在本申请中，还可以接收针对工业数据的安全要求更新信息；根据安全要求更新信息，更新工业数据的数据安全模型。这样，如果后续数据安全要求发生变化，可以直接对数据安全模型的属性信息或子模型进行修改，实现对工业数据在不同业务流程的安全要求的新增、删除与调整，减少安全要求散乱导致的管理与实现的混乱，从而提升工业数据安全部署的效率。

由以上可见，本申请通过数据安全模型对工业数据的安全要求进行体系化描述，可以确定工业数据在当前业务流程中的目标安全要求，进而调用相应的数据安全方法，不需要用户针对工业数据的不同业务流程单独定义数据安全方法，从而可以降低安全要求与安全产品之间的耦合程度，提升系统模块的内聚水平，进而可以提高对工业数据的安全保障水平，降低对工业数据进行安全运维的难度。数据安全模型是对工业互联网信息模型的补充与提升，可以与工业互联网信息模型关联使用，也可以独立于工业互联网信息模型使用，具有很强的健壮性与可使用性。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作并不一定是本申请所必须的。

为了便于理解，下面通过两个具体实施例，对本申请的工业数据安全管理方法进行说明。

例一：如图4所示，为卷烟厂工业设备数据安全管控项目中的数据安全模型，其中，工业设备SCADA(Supervisory Control And Data Acquisition，数据采集与监视控制系统)数据即为一种工业数据。根据用户对SCADA数据在不同业务流程的安全需求，可以生成SCADA数据的数据安全模型，进而便于在各个业务流程对SCADA数据进行安全管理。

举例而言，首先，可以确定SCADA数据的当前业务流程为设备层，并从SCADA数据的数据安全模型中，查询设备层的目标安全要求，具体包括：

目标安全要求1、用户登录设备时，使用指纹验证用户身份；

目标安全要求2、禁用USB(Universal Serial Bus，通用串行总线)、光盘、蓝牙等全部外设；

目标安全要求3、SCADA向MES(Manufacturing Execution System，制造企业生产过程执行系统)等边缘层设备传输数据时，使用SM3算法签名数据；

目标安全要求4、SCADA向生产机组等设备层机台下发指令时，使用SM3算法签名指令；

目标安全要求5、设备层机器接入SCADA时，验证待接入设备证书有效性。

另外，在SCADA数据的数据安全模型中，还包括标识信息和模型类型，其中，SCADA数据的数据安全模型的标识信息为“SCADA000001”，模型类型为“IDSM-SCB”，“IDSM-SCB”表示该模型的类型为SCADA数据的设备层数据安全模型。

进而，可以根据目标安全要求调用对应的数据安全方法模型，数据安全方法模型可以包括用户身份认证模型、外设控制模型、密码应用模型和现场设备接入认证模型。

其中，用户身份认证模型的标识信息为“METHOD0001”，模型类型为“IDSM-METHOD”，“IDSM-METHOD”表示该模型的类型为数据安全方法模型，用户身份认证模型中的算法包括用户名密码认证、证书认证、指纹识别认证、虹膜识别认证和人脸识别认证。

外设控制模型的标识信息为“METHOD0002”，模型类型也为“IDSM-METHOD”，外设控制模型中的算法包括USB禁用、蓝牙禁用、光盘禁用、红外禁用和wifi禁用。

密码应用模型的标识信息为“METHOD0003”，模型类型也为“IDSM-METHOD”，密码应用模型中的算法包括SM2算法和SM3算法，SM2算法和SM3算法均为加密算法。

现场设备接入认证模型的标识信息为“METHOD0004”，模型类型也为“IDSM-METHOD”，现场设备接入认证模型中的算法包括证书认证。

具体地，可以根据目标安全要求1，调用用户身份认证模型中的指纹识别方法，进而可以利用指纹设备提供的指纹识别服务；根据目标安全要求2，调用外设控制模型中的USB禁用方法，进而可以利用外设管控系统提供的外设禁用服务；根据目标安全要求3和目标安全要求4，调用密码应用模型的SM3算法，进而可以利用密码基础设施提供的SM3算法服务；根据目标安全要求5，调用现场设备接入认证模型的证书认证方法，进而可以利用密码基础设施提供的身份认证服务；从而实现对SCADA数据进行安全管理。

例二：如图5所示，为石油化工企业数据防泄露项目中的数据安全模型，其中，石油化工企业属于重要基础行业，数据安全防护形势严峻，其内网包括的工业数据包括生产工艺数据、质量控制数据、仓储物流数据、人事行政数据、财务数据、物料数据、辅料数据、装备数据、备品备件数据、营销数据等。

其中，生产工艺数据、质量数据、仓储物流数据、人事财务等数据属于高安全等级，只能有内网特定范围内使用。备品备件数据、物料数据、辅料数据属于中安全等级，出内网需要审批，营销数据属于等安全等级可以外发。另外，还需要对员工操作终端进行外设管控、数据加密、审计等安全管理。

此项目中，以数据分类为基本单位，建立了生产工艺、质量控制、能源消耗、设备、备品备件等数十个数据安全模型，进行关联安全产品，形成了完备的数据安全需求体系，从而实现对工业数据的安全管控。

下面以生产工艺数据和物料数据为例进行说明。

对于生产工艺数据而言，首先，可以确定生产工艺数据的当前业务流程为设备层，并从生产工艺数据的数据安全模型中，查询设备层的目标安全要求，具体包括：

目标安全要求1、安全等级为高级；

目标安全要求2、禁止生产工艺数据发送到外网；

目标安全要求3、在数据库存储需要加密；

目标安全要求4、员工终端U盘复制需要加密；

目标安全要求5、员工终端U盘明文复制需要审批；

目标安全要求6、员工终端存储需要加密。

另外，在生产工艺数据的数据安全模型中，还包括标识信息、模型类型和数据分类，其中，标识信息为“DATA001000”，模型类型为“IDSM-DATA”，数据分类为生产工艺类。

对于物料数据而言，首先，可以确定物料数据的当前业务流程为设备层，并从物料数据的数据安全模型中，查询设备层的目标安全要求，具体包括：

目标安全要求1、安全等级为中级；

目标安全要求2、传输到外网需要审批；

目标安全要求3、员工终端U盘复制需要审批。

另外，在物料数据的数据安全模型中，还包括标识信息、模型类型和数据分类，其中，标识信息为“DATA006000”，模型类型为“IDSM-DATA”，数据分类为物料类。

进而，可以根据不同工业数据在不同业务流程的目标安全要求，调用对应的数据安全方法模型，其中，数据安全方法模型可以包括数据分级模型、外设控制模型、密码应用模型和数据防泄漏模型。

举例而言，数据分级模型的标识信息为“METHOD0005”，模型类型为“IDSM-METHOD”，数据分级模型中的算法包括数据安全等级分级。

外设控制模型的标识信息为“METHOD0002”，模型类型也为“IDSM-METHOD”，外设控制模型中的算法包括USB禁用、蓝牙禁用审批算法。

密码应用模型的标识信息为“METHOD0003”，模型类型也为“IDSM-METHOD”，密码应用模型中的算法包括数据库加密算法和终端文件加密算法。

数据防泄漏模型的标识信息为“METHOD0006”，模型类型也为“IDSM-METHOD”，数据防泄漏模型中的算法包括阻断数据传输算法和审批算法。

具体地，生产工艺数据可以根据对应的目标安全要求1，调用数据分级模型的数据安全等级方法，进而可以利用数据分类分级系统提供的分级服务；根据对应的目标安全要求5，调用外设管控模型的外发审批方法，进而可以利用外设管控系统提供的审批服务；根据对应的目标安全要求3、4、6，调用密码应用模型的数据库加密与终端文件加密方法，进而可以利用密码基础设施提供的终端文件加密服务；根据对应的目标安全要求2、5，调用数据防泄漏模型的阻断传输与审批方法，进而可以利用数据防泄漏系统提供的阻断服务和审批服务；实现对生产工艺数据进行安全管理。

物料数据可以根据对应的目标安全要求1，调用数据分级模型的安全等级方法，进而可以利用数据分类分级系统提供的分级服务；根据对应的目标安全要求2，调用外设管控模型的外发审批方法，进而可以利用外设管控系统提供的审批服务；根据对应的目标安全要求3，调用数据防泄漏模型的阻断传输与审批方法，进而可以利用数据防泄漏系统提供的阻断服务和审批服务；实现对物料数据进行安全管理。

参照图6，示出了本申请的一种工业数据安全管理装置的结构框图，该装置具体可以包括如下模块：

业务确定模块201，用于确定工业数据的当前业务流程；

查询模块202，用于从所述工业数据的数据安全模型中，查询所述当前业务流程的目标安全要求，其中，所述数据安全模型为根据用户对所述工业数据在各个业务流程中的安全要求生成的；

调用模型203，用于调用所述目标安全要求对应的数据安全方法，对所述工业数据进行安全管理。

一种实现方式中，所述数据安全模型中包括标识信息及属性信息，所述标识信息与所述数据安全模型唯一对应，所述属性信息包括所述数据安全模型的模型类型及用户对所述工业数据在各个业务流程中的安全要求。

一种实现方式中，所述数据安全模型中还包括所述工业数据对应于各个业务流程的子模型，其中，每个所述子模型中包括子标识信息及子属性信息，所述子标识信息与所述子模型唯一对应，所述子属性信息包括所述子模型的模型类型及用户对所述工业数据在所述子模型对应的业务流程中的安全要求。

一种实现方式中，所述查询模块202，具体用于从所述工业数据的数据安全模型中，查询所述当前业务流程对应的目标子模型；根据所述目标子模型的属性信息及所述数据安全模型的属性信息，确定所述当前业务流程的目标安全要求。

一种实现方式中，所述装置还包括：

由以上可见，本申请通过数据安全模型对工业数据的安全要求进行体系化描述，可以确定工业数据在当前业务流程中的目标安全要求，进而调用相应的数据安全方法，不需要用户针对工业数据的不同业务流程单独定义数据安全方法，从而可以提高对工业数据的安全保障水平，降低对工业数据进行安全运维的难度。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本发明实施例还提供了一种电子设备，如图7所示，包括处理器301、通信接口302、存储器303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信，

存储器303，用于存放计算机程序；

处理器301，用于执行存储器303上所存放的程序时，实现如下步骤：

确定工业数据的当前业务流程；

从工业数据的数据安全模型中，查询当前业务流程的目标安全要求，其中，数据安全模型为根据用户对工业数据在各个业务流程中的安全要求生成的；

调用目标安全要求对应的数据安全方法，对工业数据进行安全管理。

上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述终端与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的工业数据安全管理方法。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的工业数据安全管理方法。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请的实施例可提供为方法、装置、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种工业数据安全管理方法、装置、电子设备及存储介质，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

1.一种工业数据安全管理方法，其特征在于，所述方法包括：

确定工业数据的当前业务流程；

2.根据权利要求1所述的方法，其特征在于，所述数据安全模型中包括标识信息及属性信息，所述标识信息与所述数据安全模型唯一对应，所述属性信息包括所述数据安全模型的模型类型及用户对所述工业数据在各个业务流程中的安全要求。

3.根据权利要求2所述的方法，其特征在于，所述数据安全模型中还包括所述工业数据对应于各个业务流程的子模型，其中，每个所述子模型中包括子标识信息及子属性信息，所述子标识信息与所述子模型唯一对应，所述子属性信息包括所述子模型的模型类型及用户对所述工业数据在所述子模型对应的业务流程中的安全要求。

4.根据权利要求3所述的方法，其特征在于，所述从所述工业数据的数据安全模型中，查询所述当前业务流程的目标安全要求，包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收针对所述工业数据的安全要求更新信息；

6.一种工业数据安全管理装置，其特征在于，所述装置包括：

业务确定模块，用于确定工业数据的当前业务流程；

7.根据权利要求6所述的装置，其特征在于，所述数据安全模型中包括标识信息及属性信息，所述标识信息与所述数据安全模型唯一对应，所述属性信息包括所述数据安全模型的模型类型及用户对所述工业数据在各个业务流程中的安全要求。

8.根据权利要求7所述的装置，其特征在于，所述数据安全模型中还包括所述工业数据对应于各个业务流程的子模型，其中，每个所述子模型中包括子标识信息及子属性信息，所述子标识信息与所述子模型唯一对应，所述子属性信息包括所述子模型的模型类型及用户对所述工业数据在所述子模型对应的业务流程中的安全要求。

9.根据权利要求8所述的装置，其特征在于，

所述查询模块，具体用于从所述工业数据的数据安全模型中，查询所述当前业务流程对应的目标子模型；根据所述目标子模型的属性信息及所述数据安全模型的属性信息，确定所述当前业务流程的目标安全要求。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：

11.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至5中任一项所述的工业数据安全管理方法的步骤。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的工业数据安全管理方法的步骤。